「Triper List」の定期レビュー中に、.htmlページにHTMLインジェクションの脆弱性を発見しました。
この脆弱性により、ユーザーは名前や住所などの個人情報を入力することで新しい旅行者を追加できてしまうのです。
このバグは「Triper List」の開発者によって修正され、ユーザーは「h1>hacked?/h1>」のようなペイロードを入力しなくても友達を追加できるようになりました。
これは、ファーストネームのフィールドに「-hacked」のようなペイロードを入力した際に発生しました。
姓などの特定のフィールドには固定電話番号が…
コメント